一种用户真实信息安全认证系统和方法技术方案

本发明专利技术公开了一种用户真实信息安全认证系统和方法，主要由基础架构层、控制层和应用层构成，包括用户主机、无线路由器、交换机和服务器；基础架构层包括无线路由器和交换机；控制层包括服务器中的用户信息认证模块和信息存储系统；应用层包括web应用；本发明专利技术首先对用户主机的IP地址合法性进行验证，防止用户主机的IP地址伪造；接着在验证到用户主机的IP地址合法的情况下，将用户主机发送的用户数据包发送至服务器中进行认证；在认证成功后，通知交换机允许发送用户数据包的用户主机的流量，否则，通知交换机阻止发送用户数据包的用户主机的流量，本发明专利技术能够完全保证用户的真实性，在提高认证系统扩展性的同时，简化了用户认证的操作。

User real information security authentication system and method

The invention discloses a real user information security authentication system and method, mainly by the infrastructure layer, control layer and application layer, including user host, wireless router, switch and server; infrastructure layer includes wireless routers and switches; control layer including server user information authentication module and information storage system; the application layer includes the web application; the invention first IP address on the legality of the user host to verify, prevent users from host IP address forgery; then verify to the user in the IP address of the host legal case, authenticate user data packets sent to the user host server; after succeeding in authentication, notify the switch allow users to send data packets of the user host traffic, otherwise, notify the user data packet switch stop sending user host The method can completely guarantee the authenticity of users, and improves the scalability of the authentication system, and simplifies the operation of user authentication.

【技术实现步骤摘要】
一种用户真实信息安全认证系统和方法
本专利技术涉及计算机网络技术，特别涉及一种用户真实信息安全认证系统和方法。
技术介绍
目前，据有关媒体报道，高校大学生有偿代替签到已经发展成为一条产业链，公共课成为了替课的重灾区，而且还能够全天候替课，能够对付各种刁钻的老师。大多数的替课者都是学生，随着需求的增加，替课已经逐步发展成为了一个校园中的灰色产业链。现在应用比较广泛的签到方式主要有上课点到签到、指纹签到、打卡签到的方式。上课点到签到比较耗费时间和精力，效率最低，并不能解决代签的问题。打卡签到在效率上有了一定的提升，但是仍然不能解决代替签到的问题。指纹签到相较而言是最好的选择，它能够唯一的识别用户身份。但是它的缺点也很明显，扩展性太差，一方面学生必须要到指定的地点才能完成签到，另一方面指纹要求清洁，指纹系统的防破坏能力及稳定性也有待提高。而其他的签到方式比如眼虹签到以及人脸识别签到则成本太高，不适用。随着智能手机的出现，现在也出现了一些手机考勤方法，这些考勤方法不能实现对用户身份信息的认证，很难避免代打卡以及代班的情况。
技术实现思路
本专利技术的目的在于克服现有技术的缺点与不足，提供一种用户真实信息安全认证系统，该系统能够完全保证用户身份的真实性，彻底解决一些签到或者考勤系统中存在的用户真实信息验证问题，在提高认证系统扩展性的同时，简化了用户认证的操作和网络管理。本专利技术的第二目的在于提供一种用户真实信息安全认证方法。本专利技术的第一目的通过下述技术方案实现：一种用户真实信息安全认证系统，主要由基础架构层、控制层和应用层构成，包括用户主机、无线路由器、交换机和服务器；其特征在于，所述基础架构层包括无线路由器和交换机，用于负责数据转发；所述控制层包括服务器中的用户信息认证模块和信息存储系统，用于负责数据的处理；所述应用层包括web应用，用于负责数据的展示；所述用户主机通过无线网络连接无线路由器，用于向无线路由器发送DHCP数据包请求DHCP服务器分配合法IP地址；用于接收交换机通过无线路由器转发的RA通告，并且获取RA通告的前缀自动生成IP地址；用于在生成IP地址后发送DADNS重复地址检测报文至无线路由器，通过无线路由器转发给交换机；用于发送用户数据包至无线路由器，通过无线路由器转发给交换机；所述无线路由器，用于接收用户主机发送的用于请求DHCP服务器分配合法IP地址的DHCP数据包；用于将接收到的DHCP数据包发送给交换机；用于将交换机发送的RA通告转发给用户主机；用于将用户主机发送的DADNS重复地址检测报文转发至交换机；用于监听用户主机发送的用户数据包；用于将监听到的用户数据包转发至交换机；所述交换机为移植有源地址验证SAVI模块以及配置了SAVI功能端口的交换机，用于监听通过SAVI功能端口传送过来的DHCP数据包，在监听到有DHCP数据包时，通过无线路由器发送RA通过至用户主机；用于在接收到DADNS重复地址检测报文后一定时间内未接收到DADNA应答时，将对应发送DHCP数据包的用户主机IP地址、用户主机MAC地址以及交换机SAVI功能端口号进行绑定，生成绑定锚，其中绑定的交换机SAVI功能端口号对应为DHCP数据包所通过的交换机SAVI功能端口，即为发送DHCP数据包的用户主机通过无线路由器所连接的交换机SAVI功能端口；用于在接收到用户数据包时，通过源地址验证SAVI模块将用户数据包解析后与其中存储的绑定锚进行对比验证，在验证成功的情况认证用户主机的IP地址是合法的，在验证失败的情况下认证用户主机的IP地址是非法的，此时过滤掉该用户主机；用于将IP地址合法的用户主机发送的用户数据包发送至服务器中的用户信息认证模块；所述服务器中的信息存储系统，用于存储用户信息以及认证信息；服务器中的用户信息认证模块，用于在获取到交换机发送的用户数据包后，根据信息存储系统存储的用户信息对用户数据包中的用户信息进行认证；用于在用户信息认证成功后，将对应认证信息存储进服务器的信息存储系统中，并且通知交换机允许对应发送用户数据包的用户主机的流量；用于在用户信息认证失败后，通知交换机阻止对应发送用户数据包的用户主机的流量；所述web应用，用于下发控制指令至服务器；用于调用并且展示用户信息和网络状态信息。优选的，所述无线路由器为移植了开源的OpenWrt系统的路由器，所述控制层还包括服务器中的SDN控制器；所述无线路由器还包括，用于通过OpenFlow协议与服务器中的SDN控制器进行通信，具体为：用于通过OpenFlow协议接收SDN控制器发送的控制指令，并且根据控制指令生成流表，然后将流表与其监听到的用户数据包进行匹配；当控制指令为获取网络状态信息以及用户信息时，将与流表匹配的用户数据包通过OpenFlow协议发送至SDN控制器中，当控制指令为过滤掉异常流量时，将与流表匹配的用户数据包进行丢弃；所述服务器中的SDN控制器，用于在接收到应用层的web应用下发的控制命令时，通过OpenFlow协议将控制命令下发到无线路由器的OpenvSwitch模块上，所述控制指令包括获取网络状态信息以及用户信息的控制指令和滤掉异常流量的控制指令；用于接收无线路由器通过OpenFlow协议发送的匹配成功的用户数据包，然后解析出匹配成功的用户数据包中的用户信息和网络状态信息，最后将解析出的用户信息和网络状态信息供web应用调用；所述web应用，用于下发获取网络状态以及用户信息的控制指令至SDN控制器；用于展示SDN控制器解析出的用户信息和网络状态信息。优选的，所述服务器中的信息存储系统存储的用户信息为外界导入的信息，其中的每个用户信息由用户账号信息、用户账号对应的指纹信息以及UUID生成器生成的UUID绑定后得到；其中所述用户账号信息包括用户账号登入时所需要的用户名和用户密码；所述用户主机为具有指纹识别功能的终端；所述应用层还包括运行在用户主机的应用程序；所述运行在用户主机的应用程序为指纹识别应用程序，包括用户账号登入模块、指纹信息获取模块和用户数据包生成模块；所述用户账号登入模块，用于提供用户账号的登入；所述指纹信息获取模块，用于获取各用户账号下由移动终端输入的指纹信息；所述用户数据包生成模块，用于将用户账号下获取到的指纹信息和用户账号信息所构成的用户信息以及源IP地址、目的IP地址、源MAC地址、目的MAC地址和交换机SAVI功能端口号信息封装成用户数据包，然后通过用户主机发送至无线路由器；其中用户数据包中的交换机SAVI功能端口号对应为用户数据包通过的交换机SAVI功能端口，即为发送用户数据包的用户主机通过无线路由器所连接的交换机SAVI功能端口；所述服务器中的信息存储系统存储的认证信息包括用户数据包中的用户信息、源IP地址、目的IP地址、源MAC地址、目的MAC地址和交换机SAVI功能端口号信息以及用户信息认证时间信息。更进一步的，所述交换机在接收到用户数据包时，通过源地址验证SAVI模块将用户数据包中的源IP地址、源MAC地址和交换机SAVI功能端口号信息解析出来，然后与交换机中的绑定锚进行对比，若交换机中有绑定锚的用户主机IP地址、用户主机MAC地址和交换机SAVI功能端口号分别对应与用户数据包中的源IP地址、源MAC地址和交换机S本文档来自技高网...

【技术保护点】
一种用户真实信息安全认证系统，主要由基础架构层、控制层和应用层构成，包括用户主机、无线路由器、交换机和服务器；其特征在于，所述基础架构层包括无线路由器和交换机，用于负责数据转发；所述控制层包括服务器中的用户信息认证模块和信息存储系统，用于负责数据的处理；所述应用层包括web应用，用于负责数据的展示；所述用户主机通过无线网络连接无线路由器，用于向无线路由器发送DHCP数据包请求DHCP服务器分配合法IP地址；用于接收交换机通过无线路由器转发的RA通告，并且获取RA通告的前缀自动生成IP地址；用于在生成IP地址后发送DAD NS重复地址检测报文至无线路由器，通过无线路由器转发给交换机；用于发送用户数据包至无线路由器，通过无线路由器转发给交换机；所述无线路由器，用于接收用户主机发送的用于请求DHCP服务器分配合法IP地址的DHCP数据包；用于将接收到的DHCP数据包发送给交换机；用于将交换机发送的RA通告转发给用户主机；用于将用户主机发送的DAD NS重复地址检测报文转发至交换机；用于监听用户主机发送的用户数据包；用于将监听到的用户数据包转发至交换机；所述交换机为移植有源地址验证SAVI模块以及配置了SAVI功能端口的交换机，用于监听通过SAVI功能端口传送过来的DHCP数据包，在监听到有DHCP数据包时，通过无线路由器发送RA通过至用户主机；用于在接收到DAD NS重复地址检测报文后一定时间内未接收到DAD NA应答时，将对应发送DHCP数据包的用户主机IP地址、用户主机MAC地址以及交换机SAVI功能端口号进行绑定，生成绑定锚，其中绑定的交换机SAVI功能端口号对应为DHCP数据包所通过的交换机SAVI功能端口，即为发送DHCP数据包的用户主机通过无线路由器所连接的交换机SAVI功能端口；用于在接收到用户数据包时，通过源地址验证SAVI模块将用户数据包解析后与其中存储的绑定锚进行对比验证，在验证成功的情况认证用户主机的IP地址是合法的，在验证失败的情况下认证用户主机的IP地址是非法的，此时过滤掉该用户主机；用于将IP地址合法的用户主机发送的用户数据包发送至服务器中的用户信息认证模块；所述服务器中的信息存储系统，用于存储用户信息以及认证信息；服务器中的用户信息认证模块，用于在获取到交换机发送的用户数据包后，根据信息存储系统存储的用户信息对用户数据包中的用户信息进行认证；用于在用户信息认证成功后，将对应认证信息存储进服务器的信息存储系统中，并且通知交换机允许对应发送用户数据包的用户主机的流量；用于在用户信息认证失败后，通知交换机阻止对应发送用户数据包的用户主机的流量；所述web应用，用于下发控制指令至服务器；用于调用并且展示用户信息和网络状态信息。...

【技术特征摘要】
1.一种用户真实信息安全认证系统，主要由基础架构层、控制层和应用层构成，包括用户主机、无线路由器、交换机和服务器；其特征在于，所述基础架构层包括无线路由器和交换机，用于负责数据转发；所述控制层包括服务器中的用户信息认证模块和信息存储系统，用于负责数据的处理；所述应用层包括web应用，用于负责数据的展示；所述用户主机通过无线网络连接无线路由器，用于向无线路由器发送DHCP数据包请求DHCP服务器分配合法IP地址；用于接收交换机通过无线路由器转发的RA通告，并且获取RA通告的前缀自动生成IP地址；用于在生成IP地址后发送DADNS重复地址检测报文至无线路由器，通过无线路由器转发给交换机；用于发送用户数据包至无线路由器，通过无线路由器转发给交换机；所述无线路由器，用于接收用户主机发送的用于请求DHCP服务器分配合法IP地址的DHCP数据包；用于将接收到的DHCP数据包发送给交换机；用于将交换机发送的RA通告转发给用户主机；用于将用户主机发送的DADNS重复地址检测报文转发至交换机；用于监听用户主机发送的用户数据包；用于将监听到的用户数据包转发至交换机；所述交换机为移植有源地址验证SAVI模块以及配置了SAVI功能端口的交换机，用于监听通过SAVI功能端口传送过来的DHCP数据包，在监听到有DHCP数据包时，通过无线路由器发送RA通过至用户主机；用于在接收到DADNS重复地址检测报文后一定时间内未接收到DADNA应答时，将对应发送DHCP数据包的用户主机IP地址、用户主机MAC地址以及交换机SAVI功能端口号进行绑定，生成绑定锚，其中绑定的交换机SAVI功能端口号对应为DHCP数据包所通过的交换机SAVI功能端口，即为发送DHCP数据包的用户主机通过无线路由器所连接的交换机SAVI功能端口；用于在接收到用户数据包时，通过源地址验证SAVI模块将用户数据包解析后与其中存储的绑定锚进行对比验证，在验证成功的情况认证用户主机的IP地址是合法的，在验证失败的情况下认证用户主机的IP地址是非法的，此时过滤掉该用户主机；用于将IP地址合法的用户主机发送的用户数据包发送至服务器中的用户信息认证模块；所述服务器中的信息存储系统，用于存储用户信息以及认证信息；服务器中的用户信息认证模块，用于在获取到交换机发送的用户数据包后，根据信息存储系统存储的用户信息对用户数据包中的用户信息进行认证；用于在用户信息认证成功后，将对应认证信息存储进服务器的信息存储系统中，并且通知交换机允许对应发送用户数据包的用户主机的流量；用于在用户信息认证失败后，通知交换机阻止对应发送用户数据包的用户主机的流量；所述web应用，用于下发控制指令至服务器；用于调用并且展示用户信息和网络状态信息。2.根据权利要求1所述的用户真实信息安全认证系统，其特征在于，所述无线路由器为移植了开源的OpenWrt系统的路由器，所述控制层还包括服务器中的SDN控制器；所述无线路由器还包括，用于通过OpenFlow协议与服务器中的SDN控制器进行通信，具体为：用于通过OpenFlow协议接收SDN控制器发送的控制指令，并且根据控制指令生成流表，然后将流表与其监听到的用户数据包进行匹配；当控制指令为获取网络状态信息以及用户信息时，将与流表匹配的用户数据包通过OpenFlow协议发送至SDN控制器中，当控制指令为过滤掉异常流量时，将与流表匹配的用户数据包进行丢弃；所述服务器中的SDN控制器，用于在接收到应用层的web应用下发的控制命令时，通过OpenFlow协议将控制命令下发到无线路由器的OpenvSwitch模块上，所述控制指令包括获取网络状态信息以及用户信息的控制指令和滤掉异常流量的控制指令；用于接收无线路由器通过OpenFlow协议发送的匹配成功的用户数据包，然后解析出匹配成功的用户数据包中的用户信息和网络状态信息，最后将解析出的用户信息和网络状态信息供web应用调用；所述web应用，用于下发获取网络状态以及用户信息的控制指令至SDN控制器；用于展示SDN控制器解析出的用户信息和网络状态信息。3.根据权利要求1或2所述的用户真实信息安全认证系统，其特征在于，所述服务器中的信息存储系统存储的用户信息为外界导入的信息，其中的每个用户信息由用户账号信息、用户账号对应的指纹信息以及UUID生成器生成的UUID绑定后得到；其中所述用户账号信息包括用户账号登入时所需要的用户名和用户密码；所述用户主机为具有指纹识别功能的终端；所述应用层还包括运行在用户主机的应用程序；所述运行在用户主机的应用程序为指纹识别应用程序，包括用户账号登入模块、指纹信息获取模块和用户数据包生成模块；所述用户账号登入模块，用于提供用户账号的登入；所述指纹信息获取模块，用于获取各用户账号下由移动终端输入的指纹信息；所述用户数据包生成模块，用于将用户账号下获取到的指纹信息和用户账号信息所构成的用户信息以及源IP地址、目的IP地址、源MAC地址、目的MAC地址和交换机SAVI功能端口号信息封装成用户数据包，然后通过用户主机发送至无线路由器；其中用户数据包中的交换机SAVI功能端口号对应为用户数据包通过的交换机SAVI功能端口，即为发送用户数据包的用户主机通过无线路由器所连接的交换机SAVI功能端口；所述服务器中的信息存储系统存储的认证信息包括用户数据包中的用户信息、源IP地址、目的IP地址、源MAC地址、目的MAC地址和交换机SAVI功能端口号信息以及用户信息认证时间信息。4.根据权利要求3所述的用户真实信息安全认证系统，其特征在于，所述交换机在接收到用户数据包时，通过源地址验证SAVI模块将用户数据包中的源IP地址、源MAC地址和交换机SAVI功能端口号信息解析出来，然后与交换机中的绑定锚进行对比，若交换机中有绑定锚的用户主机IP地址、用户主机MAC地址和交换机SAVI功能端口号分别对应与用户数据包...

【专利技术属性】
技术研发人员：张凌，万选亮，
申请(专利权)人：华南理工大学，
类型：发明
国别省市：广东,44